Crea un ruolo IAM e un segreto AWS
Suggerisci modifiche
PDF
È possibile configurare i pod Kubernetes per accedere alle risorse AWS autenticandosi come ruolo AWS IAM anziché fornire credenziali AWS esplicite.
|
Per eseguire l'autenticazione tramite un ruolo AWS IAM, è necessario disporre di un cluster Kubernetes distribuito tramite EKS. |
Crea il segreto di AWS Secrets Manager
Poiché Trident emetterà API su un server virtuale FSx per gestire l'archiviazione per te, avrà bisogno delle credenziali per farlo. Il modo sicuro per trasmettere tali credenziali è tramite un segreto AWS Secrets Manager. Pertanto, se non ne hai già uno, dovrai creare un segreto AWS Secrets Manager che contenga le credenziali per l'account vsadmin.
Questo esempio crea un segreto AWS Secrets Manager per archiviare le credenziali Trident CSI:
aws secretsmanager create-secret --name trident-secret --description "Trident CSI credentials"\
--secret-string "{\"username\":\"vsadmin\",\"password\":\"<svmpassword>\"}"Crea policy IAM
Per funzionare correttamente, Trident necessita anche delle autorizzazioni AWS. Pertanto, è necessario creare una policy che fornisca a Trident le autorizzazioni di cui ha bisogno.
Gli esempi seguenti creano una policy IAM utilizzando l'AWS CLI:
aws iam create-policy --policy-name AmazonFSxNCSIDriverPolicy --policy-document file://policy.json
--description "This policy grants access to Trident CSI to FSxN and Secrets manager"Esempio di JSON della policy:
{
"Statement": [
{
"Action": [
"fsx:DescribeFileSystems",
"fsx:DescribeVolumes",
"fsx:CreateVolume",
"fsx:RestoreVolumeFromSnapshot",
"fsx:DescribeStorageVirtualMachines",
"fsx:UntagResource",
"fsx:UpdateVolume",
"fsx:TagResource",
"fsx:DeleteVolume"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "secretsmanager:GetSecretValue",
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:<aws-region>:<aws-account-id>:secret:<aws-secret-manager-name>*"
}
],
"Version": "2012-10-17"
}Crea identità Pod o ruolo IAM per l'associazione dell'account di servizio (IRSA)
È possibile configurare un account di servizio Kubernetes affinché assuma un ruolo AWS Identity and Access Management (IAM) con EKS Pod Identity o un ruolo IAM per l'associazione dell'account di servizio (IRSA). Tutti i Pod configurati per utilizzare l'account di servizio possono quindi accedere a qualsiasi servizio AWS per il quale il ruolo dispone delle autorizzazioni di accesso.
Le associazioni Amazon EKS Pod Identity consentono di gestire le credenziali per le applicazioni, in modo simile a come i profili delle istanze Amazon EC2 forniscono le credenziali alle istanze Amazon EC2.
Installa Pod Identity sul tuo cluster EKS:
Puoi creare l'identità del Pod tramite la console AWS o utilizzando il seguente comando AWS CLI:
aws eks create-addon --cluster-name <EKS_CLUSTER_NAME> --addon-name eks-pod-identity-agent
Per maggiori informazioni fare riferimento a"Configurare l'agente di identità del pod Amazon EKS" .
Crea trust-relationship.json:
Creare trust-relationship.json per consentire al Service Principal EKS di assumere questo ruolo per Pod Identity. Quindi crea un ruolo con questa policy di attendibilità:
aws iam create-role \ --role-name fsxn-csi-role --assume-role-policy-document file://trust-relationship.json \ --description "fsxn csi pod identity role"
file trust-relationship.json:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "pods.eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}Associare la policy del ruolo al ruolo IAM:
Associa il criterio di ruolo del passaggio precedente al ruolo IAM creato:
aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:111122223333:policy/fsxn-csi-policy \ --role-name fsxn-csi-role
Crea un'associazione di identità pod:
Crea un'associazione di identità pod tra il ruolo IAM e l'account del servizio Trident (trident-controller)
aws eks create-pod-identity-association \ --cluster-name <EKS_CLUSTER_NAME> \ --role-arn arn:aws:iam::111122223333:role/fsxn-csi-role \ --namespace trident --service-account trident-controller
Utilizzando l'AWS CLI:
aws iam create-role --role-name AmazonEKS_FSxN_CSI_DriverRole \ --assume-role-policy-document file://trust-relationship.json
file trust-relationship.json:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::<account_id>:oidc-provider/<oidc_provider>"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"<oidc_provider>:aud": "sts.amazonaws.com",
"<oidc_provider>:sub": "system:serviceaccount:trident:trident-controller"
}
}
}
]
}Aggiornare i seguenti valori nel trust-relationship.json file:
-
<account_id> - ID del tuo account AWS
-
<oidc_provider> - L'OIDC del cluster EKS. È possibile ottenere oidc_provider eseguendo:
aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer"\ --output text | sed -e "s/^https:\/\///"
Associare il ruolo IAM alla policy IAM:
Una volta creato il ruolo, associare il criterio (creato nel passaggio precedente) al ruolo utilizzando questo comando:
aws iam attach-role-policy --role-name my-role --policy-arn <IAM policy ARN>Verifica che il fornitore OICD sia associato:
Verifica che il tuo provider OIDC sia associato al tuo cluster. Puoi verificarlo usando questo comando:
aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4Se l'output è vuoto, utilizzare il seguente comando per associare IAM OIDC al cluster:
eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approveSe si utilizza eksctl, utilizzare l'esempio seguente per creare un ruolo IAM per l'account di servizio in EKS:
eksctl create iamserviceaccount --name trident-controller --namespace trident \
--cluster <my-cluster> --role-name AmazonEKS_FSxN_CSI_DriverRole --role-only \
--attach-policy-arn <IAM-Policy ARN> --approve